Unternehmenseigene User-Portale ben\u00f6tigen einige wichtige technologische Faktoren, damit sie erfolgreich sind. Erfolgreich hei\u00dft, dass sie von Kunden angenommen werden und sich dort eine aktive und loyale Community bildet, die Inhalte teilt, w\u00e4chst und den Umsatz des Unternehmens langfristig steigert. Dies tun Kunden nur, wenn sie davon ausgehen k\u00f6nnen, dass ihre Daten sicher sind und wenn es ihnen leicht gemacht wird, sich in das User Portal und angeschlossene Kan\u00e4le einzuloggen. Die betreibende Organisation wiederum muss nicht nur die Sicherheit ihrer Kunden gew\u00e4hrleisten, sondern auch die eigenen Systeme nach aussen sch\u00fctzen. <\/span><\/p>\n Ich m\u00f6chte eine Schl\u00fcsseltechnologie vorstellen, die daf\u00fcr entscheidend ist: Identity and Access Management (IAM). IAM nimmt eine zentrale Stellung in der technischen Infrastruktur von User-Portalen ein; es gibt aber einige weitere Bausteine, die hier nicht betrachtet werden. Das Aufsetzen eines User Portals und dessen Absicherung nach innen und au\u00dfen sind komplex und alles andere als trivial. <\/span><\/p>\n<\/p><\/div>\n<\/p><\/div>\n Damit Du ein User Portal professionell betreiben kannst, ben\u00f6tigst Du ein IAM-System. IAM umfasst alle innerbetrieblichen Richtlinien und Tools, mit denen IT-Abteilungen Zugriffsrechte auf verschiedene Anwendungen und Systeme gew\u00e4hren und digitale Entit\u00e4ten verwalten. Solche Identit\u00e4ten k\u00f6nnen entweder nat\u00fcrliche Personen oder technische Identit\u00e4ten (Software, IoT-Hardware) sein. IAM-Systeme stellen damit ein wichtiges Element der Cybersicherheit dar, indem sie sicheren Zugriff auf die Unternehmensressourcen bereitstellen.<\/span><\/p>\n Die erste Hauptaufgabe eines IAM-Systems ist die Authentifizierung<\/strong> von Entit\u00e4ten, sobald ein Nutzer Zugriff anfordert. Im simpelsten Fall werden Benutzername und Passwort mit der eigenen Datenbank abgeglichen. Mittlerweile werden aufgrund von Sicherheitsaspekten Multifaktorauthentifizierung und adaptive Authentifizierung verwendet. <\/span><\/p>\n Die zweite IAM-Hauptaufgabe ist die Autorisierung<\/strong> der authentifizierten Entit\u00e4t. Die Zugriffsrechte der Entit\u00e4t werden \u00fcberpr\u00fcft und je nach zugewiesener Rolle wird ihr Zugriff auf die entsprechende Ressourcenebene gew\u00e4hrt.<\/span><\/p>\n Eine weitere Schl\u00fcsselfunktion von IAM-Systemen ist das Verwalten von Benutzeridentit\u00e4ten<\/strong>, also das Erstellen, Bearbeiten und L\u00f6schen von Benutzern. Dazu k\u00f6nnen die Systeme mit Verzeichnissen wie z. B. Microsoft Active Directory synchronisiert werden. Benutzern werden gem\u00e4\u00df vorher erstellten IAM-Richtlinien eine oder mehrere Rollen zugewiesen, mit denen bestimmte Rechte verbunden sind.<\/span><\/p>\n Single Sign-On<\/strong> ist nicht nur eine weitere IAM-Funktion, sondern ein komplettes Schl\u00fcsseltechnologieprinzip. Die m\u00e4chtigsten IAM-Systeme bieten es mit an, es verdient aber in meinen Augen, gesondert betrachtet zu werden.<\/span><\/p>\n<\/p><\/div>\n<\/p><\/div>\n Beim Single Sign-On (SSO) m\u00fcssen sich Deine Endkunden nur einmal in Deinem User Portal oder auf einer anderen autorisierten Instanz authentifizieren, beispielsweise bei Gmail oder Facebook. Sobald diese externe Instanz dem User Portal ein erfolgreiches Log-in zur\u00fcckmeldet, ist der User bei allen angeschlossenen Systemen wie Social-Media-Kan\u00e4len angemeldet. Dadurch wird das Customer Engagement deutlich erleichtert und die Customer Experience verbessert. <\/span><\/p>\n Die einmalige Eingabe des Passworts spart Zeit und liefert zus\u00e4tzliche Sicherheit, da sich der Kunde nur ein Passwort merken und auch nur ein Passwort \u00fcbertragen werden muss. Da Anwender sich nur an einer einzigen Stelle authentifizieren m\u00fcssen, kann diese besser gesichert und auf Korrektheit (URL, SSL-Serverzertifikat) \u00fcberpr\u00fcft werden. <\/span><\/p>\n SSO ist zun\u00e4chst ein \u00fcbergeordnetes technisches Prinzip. Es gibt verschiedene L\u00f6sungsans\u00e4tze f\u00fcr SSO. Bei der Medienl\u00f6sung<\/strong> verwendet der User ein elektronisches Token (USB, Bluetooth), um sich authentifizieren zu lassen. Bei der lokalen L\u00f6sung <\/strong>installieren User auf ihrem regelm\u00e4\u00dfig benutzten Arbeitsplatz einen Client, der Anmeldemasken automatisch mit Benutzernamen und Passwort ausf\u00fcllt. Bei Verwendung eines Ticketing Systems<\/strong> f\u00fcr SSO wird ein Netz aus vertrauensw\u00fcrdigen Diensten aufgebaut. Dem Nutzer wird bei der Anmeldung bei einem dieser Dienste ein Ticket als \u00abvertrauensvoller Anwender\u00bb zugeordnet, dass ihn\/sie f\u00fcr alle anderen Dienste des Netzes anmeldet. Bei der Portall\u00f6sung<\/strong> schlie\u00dflich meldet der Benutzer sich in einem Portal an und wird dort authentifiziert und pauschal autorisiert f\u00fcr jede Anwendung, die innerhalb des Portals integriert ist. Dies kann bei webbasierten Diensten zum Beispiel durch HTTP-Cookies erfolgen oder durch ein denzentrales Protokoll wie OpenID<\/strong>.<\/span><\/p>\n<\/p><\/div>\n<\/p><\/div>\n OpenID ist ein dezentrales Authentifizierungssystem f\u00fcr webbasierte Dienste. Ein User, der sich bei einem OpenID-Provider einmal angemeldet hat, erh\u00e4lt eine URL-basierte Identit\u00e4t, die OpenID. Damit kann er sich bei allen Websites anmelden, die OpenID unterst\u00fctzen. Da OpenID dezentral angelegt und ausschlie\u00dflich als Open-Source-Software verf\u00fcgbar ist, kann jeder mit relativ geringem Aufwand zum OpenID-Anbieter werden und einen OpenID-Server betreiben. Dies hat zur weiten Verbreitung von OpenID gef\u00fchrt, zu der kleine und mittelst\u00e4ndische Anbieter genauso wie Big Tech beitragen.<\/span><\/p>\n Diese weltweite Verbreitung und Popularit\u00e4t von OpenID ist deren gr\u00f6\u00dfter Vorzug, allerdings ist die dahinterliegende Technik gegen\u00fcber Phishing-Attacken anf\u00e4llig. Daher wird es zunehmend von OAuth und OpenID Connect verdr\u00e4ngt, die mehr M\u00f6glichkeiten zur Sicherheitskonfiguration bieten. <\/span><\/p>\n<\/p><\/div>\n<\/p><\/div>\n Ein \u201cRealm<\/strong>\u201d bezeichnet in der Informatik die Gesamtheit aller Eintr\u00e4ge eines Verzeichnisses oder das Verzeichnis an sich innerhalb eines Verzeichnisdienstes wie Active Directory. Dies k\u00f6nnen alle menschlichen User und technischen Entit\u00e4ten sein, die das IT-System eines Unternehmens benutzen, oder aber die Mitglieder eines User Portals. Werden solche Verzeichnisdienste als Ticketing System f\u00fcr SSO verwendet, so sagt das Realm der Anwendung, gegen welche Instanz eines Verzeichnisdienstes die Authentifizierung erfolgen soll. Es zeigt ihr, wo das angefragte Benutzerkonto liegt, f\u00fcr das ein SSO-Ticket angefordert werden soll.<\/span><\/p>\n Ein verteilter SSO-Authentifizierungsdienst f\u00fcr offene Computernetze wie das Internet, der mit Tickets und Realms arbeitet, ist Kerberos<\/strong>. 1978 am MIT entwickelt, l\u00e4sst sich Kerberos zur sicheren Authentifizierung in TCP\/IP-Netzwerken einsetzen. Passw\u00f6rter m\u00fcssen nicht mehr \u00fcber das Netzwerk \u00fcbertragen werden und werden durch Tickets ersetzt. Ein Kerberos-Server verwaltet nur Konten, die zu seinem Realm geh\u00f6ren; ein Rechner kann immer nur zu einem Realm geh\u00f6ren. Damit \u00fcber Kerberos auf Dienste in anderen Realms zugegriffen werden kann, m\u00fcssen Vertrauensstellungen zwischen den einzelnen Realms hergestellt werden. Kerberos ist seit der Windows-Server-Version 2000\/2003 und der Client-Version Windows 2000\/XP das Standardprotokoll von Microsoft zur SSO-Authentifizierung. Die Kerberos-Schl\u00fcssel werden in Active Directory gespeichert. Es gibt bereits Kerberos-Implementierungen f\u00fcr weitere Betriebssysteme wie macOS, Linux und FreeBSD. <\/span><\/p>\n<\/p><\/div>\n<\/p><\/div>\n Sobald Dein User Portal weiterw\u00e4chst, wird es zu aufw\u00e4ndig, un\u00fcbersichtlich und damit fehleranf\u00e4llig, jedem realen User direkt Rechte und Zugriff auf verschiedene Systeme zu geben. F\u00fcr Mehrbenutzersysteme wie User Portale ist die Vergabe von Benutzerrollen sinnvoll, bei der die Rechte anhand von Arbeitsprozessen abstrahiert werden.<\/span><\/p>\n Als bestes Verfahren zur rollenbasierten Verwaltung von Benutzerrechten sowie zur Zugriffssteuerung und -kontrolle auf Dateien oder Dienste wird Role Based Access Control (RBAC) angesehen. RBAC wurde 1992 von Ferraiolo und Kuhn beschrieben, 2004 als ANSI-Norm verabschiedet und ist bei Microsoft Active Directory und SQL Server, SELInux, FreeBSD, Solaris, Oracle RDBMS, SAP R\/3 und vielen weiteren Systemen in Anwendung. <\/span><\/p>\n Zun\u00e4chst werden jedem User eine oder mehrere Rollen zugeordnet. An jeder Rolle h\u00e4ngen eine oder mehrere Gruppenzugeh\u00f6rigkeiten. Rollen und Gruppenzugeh\u00f6rigkeiten entscheiden \u00fcber die Zugriffsrechte eines Users. Lesen, Schreiben und Ausf\u00fchren sind die h\u00e4ufigsten via RBAC kontrollierten Rechte. Zum Gl\u00fcck der Betreiber von User-Portalen und Online-Communities bleibt es aber nicht darauf beschr\u00e4nkt. Rechte wie Administrieren, Kuratieren, Teilen oder Mitglieder anlegen werden \u00fcber die \u00abnormalen\u00bb Mitglieder einer Community hinaus auch den Moderatoren, Administratoren, Community Managern und anderen Anwendern des User Portals gerecht. <\/span><\/p>\n Die Erstellung eines einheitlichen Nutzerrollenkonzepts ist die Voraussetzung f\u00fcr die Verwaltung der Zuordnungen, f\u00fcr die Identit\u00e4tsmanagementsysteme implementiert werden. Diese Systeme gleichen regelm\u00e4\u00dfig die tats\u00e4chlich vorhandenen Gruppenzugeh\u00f6rigkeiten mit den Vorgaben des Nutzerrollenkonzepts ab und korrigieren bei Abweichungen, um Zugriffskonsistenz und Sicherheit zu garantieren. <\/span><\/p>\n<\/p><\/div>\n<\/p><\/div>\n Es gibt sie tats\u00e4chlich: kostenlose und trotzdem m\u00e4chtige IAM-Systeme. Eines davon m\u00f6chte ich Dir gern kurz vorstellen, weil wir damit bei yawave gute Erfahrungen gemacht haben: Keycloak. Keycloak l\u00e4uft derzeit auf Apache License 2.0 und unterst\u00fctzt drei Sicherheitsprotokolle: OpenID Connect, OAuth 2.0 und SAML 2.0. Es unterst\u00fctzt nicht nur Single Sign-on, sondern auch Single Sign-Out und liefert dem Anwender als Admin Console eine komfortable, web-basierte GUI. Keycloak kann als eigenst\u00e4ndiges IAM-System verwendet werden, weil es Dir erlaubt, Benutzerdatenbanken mit benutzerdefinierten Rollen und Gruppen zu erstellen. Diese Informationen k\u00f6nnen weiterverwendet werden, um Benutzer innerhalb Deiner Anwendung zu authentifizieren und Teile davon basierend auf vordefinierten Rollen zu sichern. Keycloak erm\u00f6glicht die Synchronisation mit Deiner User-Datenbank. Standardm\u00e4\u00dfig werden LDAP und Active Directory unterst\u00fctzt, aber Du kannst eigene Erweiterungen f\u00fcr jede Benutzerdatenbank erstellen, indem Du die Keycloak User Storage API benutzt. Zus\u00e4tzlich erlaubt Keycloak die Verwendung von Social Identity Providern. Es liefert out-of-the-box Unterst\u00fctzung f\u00fcr Google, Twitter, Facebook und Stack Overflow, aber Du musst sie alle manuell \u00fcber das Admin-Panel konfigurieren. Mit Keycloak kannst Du alle Seiten, die Deinen Benutzern angezeigt werden, individuell gestalten. Die Seiten sind im .ftl-Format angelegt, so dass Du klassische HTML-Markups und CSS-Styles verwenden kannst, um sie an Dein Brand und UX Design anzupassen. Du kannst sogar benutzerdefinierte JS-Skripte einf\u00fcgen. Au\u00dferdem gibt es eine gro\u00dfe und hilfsbereite Support Community.<\/span><\/p>\n Von Nachteil k\u00f6nnte die Entscheidung f\u00fcr Keycloak sein, wenn Du nur eine Einzelanwendung mit nur einem Client im Keycloak Realm betreibst \u2013 dann verlierst Du alle Vorteile von SSO. Wenn Du kein Social Login nutzt oder f\u00fcr Dein User Portal zul\u00e4sst, k\u00f6nnte Keycloak auch nicht die richtige Wahl sein. Eine Verwendung als reine Benutzerdatenbank wird Keycloak ebenfalls nicht gerecht, da kannst Du besser eine Datenbank mit spezifischen Tabellen verwenden, die ist einfacher zu konfigurieren. Last, not least ist Keycloak ein Open-Source-Projekt. Wer nach einer Herstellergarantie oder individuellem 24h-Support sucht, ist da falsch.<\/span><\/p>\n<\/p><\/div>\n<\/p><\/div>\n Ohne Auswahl und Verwendung der passenden Schl\u00fcsseltechnologien und Verfahren wie IAM und RBAC wird Dein User Portal langfristig nicht erfolgreich sein. Es w\u00fcrde mich freuen, wenn dieser Artikel Dir ein paar Anhaltspunkte dazu liefern konnte, worauf Du dabei achten solltest.<\/span><\/p>\n<\/p><\/div>\n<\/p><\/div>\n<\/p><\/div>\n<\/p><\/div>\n<\/p><\/div>\n<\/div>\n [\/et_pb_text][\/et_pb_column] Der gezielte Umgang mit Identit\u00e4ten und Zugriffsrechten ist das zentrale Element zur Entfaltung des Potenzials eines Benutzerportals. <\/p>\n","protected":false},"author":1,"featured_media":8909,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"_et_pb_use_builder":"on","_et_pb_old_content":" Unternehmenseigene User-Portale ben\u00f6tigen einige wichtige technologische Faktoren, damit sie erfolgreich sind. Erfolgreich hei\u00dft, dass sie von Kunden angenommen werden und sich dort eine aktive und loyale Community bildet, die Inhalte teilt, w\u00e4chst und den Umsatz des Unternehmens langfristig steigert. Dies tun Kunden nur, wenn sie davon ausgehen k\u00f6nnen, dass ihre Daten sicher sind und wenn es ihnen leicht gemacht wird, sich in das User Portal und angeschlossene Kan\u00e4le einzuloggen. Die betreibende Organisation wiederum muss nicht nur die Sicherheit ihrer Kunden gew\u00e4hrleisten, sondern auch die eigenen Systeme nach aussen sch\u00fctzen. <\/span><\/p> \n Ich m\u00f6chte eine Schl\u00fcsseltechnologie vorstellen, die daf\u00fcr entscheidend ist: Identity and Access Management (IAM). IAM nimmt eine zentrale Stellung in der technischen Infrastruktur von User-Portalen ein; es gibt aber einige weitere Bausteine, die hier nicht betrachtet werden. Das Aufsetzen eines User Portals und dessen Absicherung nach innen und au\u00dfen sind komplex und alles andere als trivial. <\/span><\/p> \n <\/div> \n <\/div> \n Damit Du ein User Portal professionell betreiben kannst, ben\u00f6tigst Du ein IAM-System. IAM umfasst alle innerbetrieblichen Richtlinien und Tools, mit denen IT-Abteilungen Zugriffsrechte auf verschiedene Anwendungen und Systeme gew\u00e4hren und digitale Entit\u00e4ten verwalten. Solche Identit\u00e4ten k\u00f6nnen entweder nat\u00fcrliche Personen oder technische Identit\u00e4ten (Software, IoT-Hardware) sein. IAM-Systeme stellen damit ein wichtiges Element der Cybersicherheit dar, indem sie sicheren Zugriff auf die Unternehmensressourcen bereitstellen.<\/span><\/p> \n Die erste Hauptaufgabe eines IAM-Systems ist die Authentifizierung<\/strong> von Entit\u00e4ten, sobald ein Nutzer Zugriff anfordert. Im simpelsten Fall werden Benutzername und Passwort mit der eigenen Datenbank abgeglichen. Mittlerweile werden aufgrund von Sicherheitsaspekten Multifaktorauthentifizierung und adaptive Authentifizierung verwendet. <\/span><\/p> \n Die zweite IAM-Hauptaufgabe ist die Autorisierung<\/strong> der authentifizierten Entit\u00e4t. Die Zugriffsrechte der Entit\u00e4t werden \u00fcberpr\u00fcft und je nach zugewiesener Rolle wird ihr Zugriff auf die entsprechende Ressourcenebene gew\u00e4hrt.<\/span><\/p> \n Eine weitere Schl\u00fcsselfunktion von IAM-Systemen ist das Verwalten von Benutzeridentit\u00e4ten<\/strong>, also das Erstellen, Bearbeiten und L\u00f6schen von Benutzern. Dazu k\u00f6nnen die Systeme mit Verzeichnissen wie z. B. Microsoft Active Directory synchronisiert werden. Benutzern werden gem\u00e4\u00df vorher erstellten IAM-Richtlinien eine oder mehrere Rollen zugewiesen, mit denen bestimmte Rechte verbunden sind.<\/span><\/p> \n Single Sign-On<\/strong> ist nicht nur eine weitere IAM-Funktion, sondern ein komplettes Schl\u00fcsseltechnologieprinzip. Die m\u00e4chtigsten IAM-Systeme bieten es mit an, es verdient aber in meinen Augen, gesondert betrachtet zu werden.<\/span><\/p> \n <\/div> \n <\/div> \n Beim Single Sign-On (SSO) m\u00fcssen sich Deine Endkunden nur einmal in Deinem User Portal oder auf einer anderen autorisierten Instanz authentifizieren, beispielsweise bei Gmail oder Facebook. Sobald diese externe Instanz dem User Portal ein erfolgreiches Log-in zur\u00fcckmeldet, ist der User bei allen angeschlossenen Systemen wie Social-Media-Kan\u00e4len angemeldet. Dadurch wird das Customer Engagement deutlich erleichtert und die Customer Experience verbessert. <\/span><\/p> \n Die einmalige Eingabe des Passworts spart Zeit und liefert zus\u00e4tzliche Sicherheit, da sich der Kunde nur ein Passwort merken und auch nur ein Passwort \u00fcbertragen werden muss. Da Anwender sich nur an einer einzigen Stelle authentifizieren m\u00fcssen, kann diese besser gesichert und auf Korrektheit (URL, SSL-Serverzertifikat) \u00fcberpr\u00fcft werden. <\/span><\/p> \n SSO ist zun\u00e4chst ein \u00fcbergeordnetes technisches Prinzip. Es gibt verschiedene L\u00f6sungsans\u00e4tze f\u00fcr SSO. Bei der Medienl\u00f6sung<\/strong> verwendet der User ein elektronisches Token (USB, Bluetooth), um sich authentifizieren zu lassen. Bei der lokalen L\u00f6sung <\/strong>installieren User auf ihrem regelm\u00e4\u00dfig benutzten Arbeitsplatz einen Client, der Anmeldemasken automatisch mit Benutzernamen und Passwort ausf\u00fcllt. Bei Verwendung eines Ticketing Systems<\/strong> f\u00fcr SSO wird ein Netz aus vertrauensw\u00fcrdigen Diensten aufgebaut. Dem Nutzer wird bei der Anmeldung bei einem dieser Dienste ein Ticket als \u00abvertrauensvoller Anwender\u00bb zugeordnet, dass ihn\/sie f\u00fcr alle anderen Dienste des Netzes anmeldet. Bei der Portall\u00f6sung<\/strong> schlie\u00dflich meldet der Benutzer sich in einem Portal an und wird dort authentifiziert und pauschal autorisiert f\u00fcr jede Anwendung, die innerhalb des Portals integriert ist. Dies kann bei webbasierten Diensten zum Beispiel durch HTTP-Cookies erfolgen oder durch ein denzentrales Protokoll wie OpenID<\/strong>.<\/span><\/p> \n <\/div> \n <\/div> \n OpenID ist ein dezentrales Authentifizierungssystem f\u00fcr webbasierte Dienste. Ein User, der sich bei einem OpenID-Provider einmal angemeldet hat, erh\u00e4lt eine URL-basierte Identit\u00e4t, die OpenID. Damit kann er sich bei allen Websites anmelden, die OpenID unterst\u00fctzen. Da OpenID dezentral angelegt und ausschlie\u00dflich als Open-Source-Software verf\u00fcgbar ist, kann jeder mit relativ geringem Aufwand zum OpenID-Anbieter werden und einen OpenID-Server betreiben. Dies hat zur weiten Verbreitung von OpenID gef\u00fchrt, zu der kleine und mittelst\u00e4ndische Anbieter genauso wie Big Tech beitragen.<\/span><\/p> \n Diese weltweite Verbreitung und Popularit\u00e4t von OpenID ist deren gr\u00f6\u00dfter Vorzug, allerdings ist die dahinterliegende Technik gegen\u00fcber Phishing-Attacken anf\u00e4llig. Daher wird es zunehmend von OAuth und OpenID Connect verdr\u00e4ngt, die mehr M\u00f6glichkeiten zur Sicherheitskonfiguration bieten. <\/span><\/p> \n <\/div> \n <\/div> \n Ein \u201cRealm<\/strong>\u201d bezeichnet in der Informatik die Gesamtheit aller Eintr\u00e4ge eines Verzeichnisses oder das Verzeichnis an sich innerhalb eines Verzeichnisdienstes wie Active Directory. Dies k\u00f6nnen alle menschlichen User und technischen Entit\u00e4ten sein, die das IT-System eines Unternehmens benutzen, oder aber die Mitglieder eines User Portals. Werden solche Verzeichnisdienste als Ticketing System f\u00fcr SSO verwendet, so sagt das Realm der Anwendung, gegen welche Instanz eines Verzeichnisdienstes die Authentifizierung erfolgen soll. Es zeigt ihr, wo das angefragte Benutzerkonto liegt, f\u00fcr das ein SSO-Ticket angefordert werden soll.<\/span><\/p> \n Ein verteilter SSO-Authentifizierungsdienst f\u00fcr offene Computernetze wie das Internet, der mit Tickets und Realms arbeitet, ist Kerberos<\/strong>. 1978 am MIT entwickelt, l\u00e4sst sich Kerberos zur sicheren Authentifizierung in TCP\/IP-Netzwerken einsetzen. Passw\u00f6rter m\u00fcssen nicht mehr \u00fcber das Netzwerk \u00fcbertragen werden und werden durch Tickets ersetzt. Ein Kerberos-Server verwaltet nur Konten, die zu seinem Realm geh\u00f6ren; ein Rechner kann immer nur zu einem Realm geh\u00f6ren. Damit \u00fcber Kerberos auf Dienste in anderen Realms zugegriffen werden kann, m\u00fcssen Vertrauensstellungen zwischen den einzelnen Realms hergestellt werden. Kerberos ist seit der Windows-Server-Version 2000\/2003 und der Client-Version Windows 2000\/XP das Standardprotokoll von Microsoft zur SSO-Authentifizierung. Die Kerberos-Schl\u00fcssel werden in Active Directory gespeichert. Es gibt bereits Kerberos-Implementierungen f\u00fcr weitere Betriebssysteme wie macOS, Linux und FreeBSD. <\/span><\/p> \n <\/div> \n <\/div> \n Sobald Dein User Portal weiterw\u00e4chst, wird es zu aufw\u00e4ndig, un\u00fcbersichtlich und damit fehleranf\u00e4llig, jedem realen User direkt Rechte und Zugriff auf verschiedene Systeme zu geben. F\u00fcr Mehrbenutzersysteme wie User Portale ist die Vergabe von Benutzerrollen sinnvoll, bei der die Rechte anhand von Arbeitsprozessen abstrahiert werden.<\/span><\/p> \n Als bestes Verfahren zur rollenbasierten Verwaltung von Benutzerrechten sowie zur Zugriffssteuerung und -kontrolle auf Dateien oder Dienste wird Role Based Access Control (RBAC) angesehen. RBAC wurde 1992 von Ferraiolo und Kuhn beschrieben, 2004 als ANSI-Norm verabschiedet und ist bei Microsoft Active Directory und SQL Server, SELInux, FreeBSD, Solaris, Oracle RDBMS, SAP R\/3 und vielen weiteren Systemen in Anwendung. <\/span><\/p> \n Zun\u00e4chst werden jedem User eine oder mehrere Rollen zugeordnet. An jeder Rolle h\u00e4ngen eine oder mehrere Gruppenzugeh\u00f6rigkeiten. Rollen und Gruppenzugeh\u00f6rigkeiten entscheiden \u00fcber die Zugriffsrechte eines Users. Lesen, Schreiben und Ausf\u00fchren sind die h\u00e4ufigsten via RBAC kontrollierten Rechte. Zum Gl\u00fcck der Betreiber von User-Portalen und Online-Communities bleibt es aber nicht darauf beschr\u00e4nkt. Rechte wie Administrieren, Kuratieren, Teilen oder Mitglieder anlegen werden \u00fcber die \u00abnormalen\u00bb Mitglieder einer Community hinaus auch den Moderatoren, Administratoren, Community Managern und anderen Anwendern des User Portals gerecht. <\/span><\/p> \n Die Erstellung eines einheitlichen Nutzerrollenkonzepts ist die Voraussetzung f\u00fcr die Verwaltung der Zuordnungen, f\u00fcr die Identit\u00e4tsmanagementsysteme implementiert werden. Diese Systeme gleichen regelm\u00e4\u00dfig die tats\u00e4chlich vorhandenen Gruppenzugeh\u00f6rigkeiten mit den Vorgaben des Nutzerrollenkonzepts ab und korrigieren bei Abweichungen, um Zugriffskonsistenz und Sicherheit zu garantieren. <\/span><\/p> \n <\/div> \n <\/div> \n Es gibt sie tats\u00e4chlich: kostenlose und trotzdem m\u00e4chtige IAM-Systeme. Eines davon m\u00f6chte ich Dir gern kurz vorstellen, weil wir damit bei yawave gute Erfahrungen gemacht haben: Keycloak. Keycloak l\u00e4uft derzeit auf Apache License 2.0 und unterst\u00fctzt drei Sicherheitsprotokolle: OpenID Connect, OAuth 2.0 und SAML 2.0. Es unterst\u00fctzt nicht nur Single Sign-on, sondern auch Single Sign-Out und liefert dem Anwender als Admin Console eine komfortable, web-basierte GUI. Keycloak kann als eigenst\u00e4ndiges IAM-System verwendet werden, weil es Dir erlaubt, Benutzerdatenbanken mit benutzerdefinierten Rollen und Gruppen zu erstellen. Diese Informationen k\u00f6nnen weiterverwendet werden, um Benutzer innerhalb Deiner Anwendung zu authentifizieren und Teile davon basierend auf vordefinierten Rollen zu sichern. Keycloak erm\u00f6glicht die Synchronisation mit Deiner User-Datenbank. Standardm\u00e4\u00dfig werden LDAP und Active Directory unterst\u00fctzt, aber Du kannst eigene Erweiterungen f\u00fcr jede Benutzerdatenbank erstellen, indem Du die Keycloak User Storage API benutzt. Zus\u00e4tzlich erlaubt Keycloak die Verwendung von Social Identity Providern. Es liefert out-of-the-box Unterst\u00fctzung f\u00fcr Google, Twitter, Facebook und Stack Overflow, aber Du musst sie alle manuell \u00fcber das Admin-Panel konfigurieren. Mit Keycloak kannst Du alle Seiten, die Deinen Benutzern angezeigt werden, individuell gestalten. Die Seiten sind im .ftl-Format angelegt, so dass Du klassische HTML-Markups und CSS-Styles verwenden kannst, um sie an Dein Brand und UX Design anzupassen. Du kannst sogar benutzerdefinierte JS-Skripte einf\u00fcgen. Au\u00dferdem gibt es eine gro\u00dfe und hilfsbereite Support Community.<\/span><\/p> \n Von Nachteil k\u00f6nnte die Entscheidung f\u00fcr Keycloak sein, wenn Du nur eine Einzelanwendung mit nur einem Client im Keycloak Realm betreibst \u2013 dann verlierst Du alle Vorteile von SSO. Wenn Du kein Social Login nutzt oder f\u00fcr Dein User Portal zul\u00e4sst, k\u00f6nnte Keycloak auch nicht die richtige Wahl sein. Eine Verwendung als reine Benutzerdatenbank wird Keycloak ebenfalls nicht gerecht, da kannst Du besser eine Datenbank mit spezifischen Tabellen verwenden, die ist einfacher zu konfigurieren. Last, not least ist Keycloak ein Open-Source-Projekt. Wer nach einer Herstellergarantie oder individuellem 24h-Support sucht, ist da falsch.<\/span><\/p> \n <\/div> \n <\/div> \n Ohne Auswahl und Verwendung der passenden Schl\u00fcsseltechnologien und Verfahren wie IAM und RBAC wird Dein User Portal langfristig nicht erfolgreich sein. Es w\u00fcrde mich freuen, wenn dieser Artikel Dir ein paar Anhaltspunkte dazu liefern konnte, worauf Du dabei achten solltest.<\/span><\/p> \n <\/div> \n <\/div> \n <\/div> \n <\/div> \n <\/div> \n<\/div> ","_et_gb_content_width":"","footnotes":""},"categories":[108,131],"tags":[125],"dipi_cpt_category":[],"class_list":["post-7239","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-news-homepage-2","category-user-hub","tag-blog-2"],"yoast_head":"\n1. Identity and Access Management <\/h2>\n<\/p><\/div>\n
2. Single Sign-On <\/h2>\n<\/p><\/div>\n
3. SSO via OpenID <\/h2>\n<\/p><\/div>\n
4. SSO via Realms <\/h2>\n<\/p><\/div>\n
5. Permission Handling: Role Based Access Control <\/h2>\n<\/p><\/div>\n
6. Open Source IAM: Keycloak <\/h2>\n<\/p><\/div>\n
Fazit\u200b<\/span> <\/h2>\n<\/p><\/div>\n
\n\t\t\t[\/et_pb_row]
\n\t\t[\/et_pb_section]<\/p>\n","protected":false},"excerpt":{"rendered":"1. Identity and Access Management <\/h2> \n <\/div> \n
2. Single Sign-On <\/h2> \n <\/div> \n
3. SSO via OpenID <\/h2> \n <\/div> \n
4. SSO via Realms <\/h2> \n <\/div> \n
5. Permission Handling: Role Based Access Control <\/h2> \n <\/div> \n
6. Open Source IAM: Keycloak <\/h2> \n <\/div> \n
Fazit\u200b<\/span> <\/h2> \n <\/div> \n